Boj s Emotetem aneb Jak se bránit v první linii

06. February 2019 11:25 0 komentářů

Emotet je malware navržený tak, aby se vyhnul detekci, opevnil se a dále se šířil.

Díky častým a nepravidelným aktualizacím, modulárnímu i polymorfnímu designu a schopnosti využívat řadu různorodých technik pro procházení sítí, představuje tento software pro administrátory a bezpečnostní nástroje pohyblivý cíl, který se navíc neustále mění. Během své pětileté existence se Emotet vyvinul z trójského koně, který tiše kradl přístupy k bankovním účtům, do podoby velmi důmyslné a široce využívané platformy pro distribuci dalších typů malware. Často pak opět bankovních „Trojanů“.

Emotet se šíří na pozadí rozličných spamových kampaní a může s sebou přinést jakýkoli malware. V letošním roce se to zatím týkalo bankovních trojských koní TrickBot a QBot, nicméně Emotet byl spojen i se sofistikovaným ransomwarem BitPaymer, který na výkupném získal šestimístnou dolarovou částku. V červenci 2018 vydal americký úřad US-CERT (United States Computer Emergency Readiness Team) varování, ve kterém Emotet popsal jako “…jeden z nejdestruktivnějších a nejnákladnějších malwarů, které útočí na veřejnou správu. Jeho vlastnosti podobné červům umožňují rychlé šíření napříč sítí, což znesnadňuje boj s touto infekcí. V americkém veřejném sektoru dosahovaly náklady spojené s řešením jednoho bezpečnostního incidentu způsobeného tímto malwarem výše až milionu dolarů.” Emotet zůstává extrémně vážnou hrozbou a představuje jednu z nejnáročnějších výzev, kterým musí čelit systémoví administrátoři a lovci škodlivého software. Z tohoto důvodu jsme se ve spolupráci s Peterem Mackenzie, specialistou společnosti Sophos na problematiku malware, rozhodli připravit přehled tipů, které jsou účinnou pomocí v boji s touto hrozbou.

Zabezpečte všechny své stroje

Prevence je lepší než léčba. A jedním z nejúčinnějších preventivních kroků, které můžete udělat, je zajistit, aby se v rámci vaší podnikové informační architektury nenacházely žádné nezabezpečené počítače. Potvrzují to ostatně i slova Petera Mackenzieho – vždy, když dojde k napadení organizace Emotetem, je zdrojem infekce nějaké nechráněné zařízení připojené do sítě. Firmy často o těchto strojích ani nevědí, natož o tom, že by byly napadeny malwarem. Pomocí zdarma dostupného nástroje pro skenování síťové infrastruktury můžete získat seznam všech aktivních zařízení na síti a porovnat jej s výstupy z vaší bezpečnostní konzole. Pokud naleznete jakákoli neznámá zařízení, tak je co nejrychleji aktualizujte a vybavte je nejnovějším řešením pro ochranu koncových bodů.

Neznámé a nezabezpečené stroje představují také prostor, ve kterém se může Emotet ukrývat a přizpůsobovat – což celou situaci ještě zhoršuje. Ačkoli se zpočátku nachází pouze na nezabezpečených počítačích, bude se pokoušet rozšířit se do okolí. A protože jde o polymorfní malware, často se aktualizuje – někdy i několikrát za den – a velmi rychle se mění. Emotet tak neustále přináší nové výzvy. Čím delší dobu mu dovolíte toto dělat, tím větší bude riziko, že nějaká nová verze najde mezeru ve vaší ochraně a rozšíří se po síti.

Je nemožné předpovídat, co mu takovou mezeru umožní objevit – může to být nový exploit nebo třeba mutace, která Emotet dočasně skryje před antiviry využívajícími detekci pomocí signatur. Zásadním faktorem úspěchu v boji s touto hrozbou je proto skutečně důkladná ochrana. S nalezením zdroje nákazy i s její likvidací vám pomohou zejména pokročilé anti-malwarové techniky, jako je Deep Learning, prevence před zneužíváním exploitů nebo technologie pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR).

Záplatujte často a co nejdříve

Emotet je bránou pro další malware, takže jeho zablokování znamená současně ochranu i před ostatními hrozbami, které přicházejí spolu s ním. Vzhledem k tomu, že nevíte, o jakou hrozbu přesně půjde, musíte přijmout ta nejlepší možná opatření. A v popředí seznamu těch nejvhodnějších – a seznam to může být poměrně dlouhý – by mělo být záplatování používaných systémů tak, aby byly odolné proti známým zranitelnostem.

Možná se tato rada jeví jako nejstarší bezpečnostní doporučení pod sluncem, nicméně má své opodstatnění. Realitou je, že právě v důsledku zanedbaných aktualizací se ohniska nákazy malwarem Emotet rozrůstají a je stále obtížnější jej zastavit. Příkladem toho, jak to celé funguje, může být EternalBlue – SMB exploit, který v roce 2017 proslavily ransomwary WannaCry a NotPetya. A ačkoli se to zdá neuvěřitelné, navzdory všem zprávám a takřka dva roky od vydání aktualizace zabezpečení společností Microsoft (MS17-010), která zajistila dostatečnou ochranu, přináší zneužívání tohoto exploitu stále ještě nějaký zisk. Příkladem takového malware je TrickBot, který je nejčastěji šířený právě prostřednictvím Emoteta. Nezapomínejte proto na záplaty a aktualizace.

Výchozí nastavení pro PowerShell? Zablokováno!

Emotet zahájí svoji cestu do podnikové informační architektury obvykle jako příloha elektronické pošty a scénář vzniku ohniska nákazy pak často vypadá následovně:

Uživatel obdrží e-mail s přiloženým dokumentem ve Wordu

Uživatel tento dokument otevře a pošetile povolí spuštění makra

Makro vyvolá skript v PowerShellu, který Emoteta stáhne do napadnutého počítače

A infekce začíná.

Je tedy jasné, že aby Emotet uspěl, musí uživatelé udělat špatně hned několik věcí. Finální rada by tak mohla znít „vysvětlete zaměstnancům, aby neotevírali podezřelé e-maily a nespouštěli makra“. Nezapomínejte ale, že jde o nikdy nekončící proces – stačí selhat jedinkrát. Přímočařejší a ze strany administrátorů snadněji zajistitelné opatření je zablokování přístupu k PowerShellu. Což neznamená zablokovat přístup naprosto všem uživatelům, protože někteří jej opravdu potřebují. Důležité je ale povolovat přístup k tomuto shellu pouze v prokazatelně oprávněných případech. Blokováním v tomto případě znamená opravdové znemožnění přístupu, nejen pouhé nastavení politik, které by PowerShell zakázaly. Bezpečnostní politiky mohou být deaktivovány, a proto by měl být PowerShell zařazený na seznam blokovaných aplikací (v případě technologií společnosti Sophos jde o funkci s názvem Application Control).

Michal Hebeda, Sales Engineer ve společnosti SOPHOS


Komentáře

RSS 

Komentujeme

Počítačové hry v hlavě – a to dokonce multiplayer

Pavel Houser , 03. August 2019 06:30

Tetris v podání vědců z University of Washington připomíná málem telepatii – jeden z hráčů vidí pada...

Více



Kalendář

25. 08.

29. 08.
VMworld US 2019
05. 09.

06. 09.
Technical Computing Camp 2019
06. 09.

11. 09.
IFA 2019
RSS 

Zprávičky

Larry Ellison má 75 let

ČTK , 17. August 2019 08:00

Larry Ellison stál u zrodu softwarového gigantu Oracle. Bývá popisován jako extravagantní multimilia...

Více 0 komentářů

ICT odborníků je v ČR stále nedostatek, medián mzdy je přes 52 tisíc Kč

Pavel Houser , 16. August 2019 10:00

Nejvíce si vydělají ICT odborníci v peněžnictví a pojišťovnictví, ať už se jedná o specialisty nebo ...

Více 0 komentářů

T-Mobile letos vyplatil dividendu 5,6 miliardy Kč

ČTK , 16. August 2019 09:01

Konkurenční O2 za loňský rok vyplatila akcionářům celkem 6,5 miliardy Kč....

Více 0 komentářů

Starší zprávičky

Avast v pololetí zvýšil tržby o 9 % na 422 milionů USD

ČTK , 16. August 2019 09:00

Důležitou událostí první poloviny roku bylo vydání řešení pro Internet věcí....

Více 0 komentářů

Fiskální rok 2019/2020 začal pro Lenovo úspěšně

Pavel Houser , 16. August 2019 08:00

Čtvrtina sestavených počítačů na světě je značky Lenovo, firma má podíl na trhu 24,9 %....

Více 0 komentářů

Hlasové zprávy uživatelů pro Facebook přepisovali lidé

ČTK , 15. August 2019 10:00

Zásady Facebooku ohledně užívání dat se konkrétně o nahrávkách nezmiňují....

Více 0 komentářů

Čínská centrální banka je téměř připravena na vlastní kryptoměnu

ČTK , 15. August 2019 09:00

Chystaná digitální měna se kvůli objemu transakcí nebude spoléhat na blockchain....

Více 0 komentářů